打印本文 关闭窗口 | ||||||||||
实战:与BT下载的捆马者的较量 | ||||||||||
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:16:35 文章录入:陈鹏 责任编辑:陈鹏 | ||||||||||
|
||||||||||
捆马的人自己敢声称:经kv2005把关无毒,说明他对自己的免杀的功力是很有自信的,下面,就让我们来一步步的揭开他的骗局 下载得到抢滩登陆2006.exe 如图片所显示,的确kv2006下提示无毒,用瑞星金山全部提示无毒,用PEID检查为 看上去没有问题,但是一个安装包怎么可能是Microsoft Visual C++ 6.0?下面这张图片 一个安装包竟然要用vmprotect处理?这是为什么?要免杀吗?这就更加怀疑了。。 下面开始和捆马者正面较量! 我开始把他想简单了,以为可以直接用安装包解开工具直接处理,没想到的是我的所有安装包解开工具都提示无法解开,原因我想应该是vmprotect改变了文件的一些结构,从而无法识别的,好的,我们来简单的,直接运行安装包,不过要先记得拔掉网线!! 这里提供一个好工具icesword 1.18 利用icesword 1.18的线程监控功能,我们可以轻易的发现马的一切动作; 要,我们运行他,什么也不要再点,直接来看 就是这个图片,2006.exe就是安装包主文件,仔细看好了,2006.exe启动了一个2.tmp和3.tmp,然后就创建了awaress.cn文件,进而,awaress.cn创建了iexplorer.exe这个东西看起来象个网站,其实就是鸽子的主体文件,下面我们把他检测一下。。 这个图片是virustotal的检测结果,我们可以看到,这个家伙用了nspack pe_patch两个加壳工具不过ewido/卡巴还是能查杀他 木马已经进入了系统,下面我们把他抓出来,看看服务: 瞧,和他的主文件名一样,在看看文件 这个文件就是他释放出的马了,结合icesword 可以看见红色的iexplorer.exe,即为木马的进程。木马已经抓出来了,下面就是对他处理处理。可以抓到后台的捆马的人,找出他的IP,然后嘛,拿出我们的强力攻击工具搞死他。。哈哈 我个人习惯把文件改成DLL,这样一来可以防止误运行,又可以被PE工具检测,我们可以看到,是nspcak的加可,可以进一步确认为NsPacK V3.7 -> LiuXingPing *的 为了能够反向抓出捆马的人,我们首先来脱壳,用Ollydbg加在 使用ESP定理,在0012ffc0上下memory access端点,我们回来到这里 难道脱壳没有成功?不,这个捆马着加了两次NSPACK,同样的方法,我们解决问题,回来到这里 这里是捆马的家伙自己写的花指令,一路跟踪下去。。我们最终回到达以下地方 从这里开始,所有的壳已经被解开开,我们看看下图 作者还写好了Ultra String Reference,项目 864 Address=004A2ED7 Disassembly=push Awarenes.004A2FD6 Text String=雨花石专版服务端安装成功!哈哈,名字就在这里,我们等会再去看看,先解决反向连接的IP,我们来到这里 堆栈 ss:[0012FF70]=00E63874 edx=00E62530, (ASCII "46C3BBBA4C00629EC81CAB4A1797E4FCA6F9B4B9A4B6171DD743F967A806141107A05DFE 0AD79C0D311361503EE75A3AC2CC096919737A72F340252EF6F00377CC910B5A0F41243C773D542B 3D61227F040B2EC6885484641D47B329E19EDFB40FE692E8DA4EE8D99158E7D2230BA5DE94B7D6FB)
堆栈 ss:[0012FF6C]=00E63970, (ASCII "flkano.noip.cn") edx=00000000 堆栈 ss:[0012FF68]=00E6398C, (ASCII "8b4ca58172880bbb") edx=00000000 堆栈 ss:[0012FF64]=00E639AC, (ASCII "$(WinDir)\Awareness.cn") edx=00000000 堆栈 ss:[0012FF60]=00E6394C, (ASCII "C:\WINNT\Awareness.cn") edx=00E639AC, (ASCII "$(WinDir)\Awareness.cn") 堆栈 ss:[0012FF5C]=00E63CEC, (ASCII "Awareness.cn") edx=00000000 Awareness 管理卷影复制服务拍摄的软件卷影复制 由以上几个方面的内容,很简单的就获得的全部的配置 C:\>ping flkano.noip.cn Pinging flkano.noip.cn [202.110.91.221] with 32 bytes of data: Reply from 202.110.91.221: bytes=32 time=78ms TTL=112 捆马的人正在线呢, · 查询结果1:河南省 许昌市 网通 · 查询结果2:河南省驻马店市 网通 肯定是个河南省的垃圾hacker,我们要搞死他可以使用DDOS工具攻击他的*80端口,他的很快就会不上线了,OK,搞死捆马的人。。。
好了。我们还有一件事情没有做完, 起先的那个游戏是个捆绑的版本,我们还要分离出无马的纯净版本,OK,既然他是个捆绑机释放出的两个文件:2.tmp和3.tmp,,其中2.tmp就是游戏的真正的安装文件,我们把他复制出来 在用icesword看看, 我命名为了2.exe瞧,没有再产生新文件了吧,说明这个就是真正的游戏 这就是用PEID再次扫描的结果,确实是个安装包了。。说明解包成功,我们获得了真正的纯净的安装包 接下来,我们来学习学习他的免杀的方法,鸽子的主文件叫awareness.cn,这个名字具有相当大的隐蔽性,容易被当成一个合法的网站空间,使用了两次的NsPacK V3.7 -> LiuXingPing *加壳,并且用了自己编写的花指令,成功的实现了大范围内的免杀,我们在来看看原始的带马的安装包,是一个捆绑机,使用了VMProtect加密入口处代码,并且将VMProtect自动产生的vmp0,vmp1两个区段修改成了rsrc1,vmp1一避人耳目,然后,再次使用花指令,这个花指令是VC++6。0的入口处代码。 在带马的安装包启动时,自动释放出鸽子并且改名成3.tmp在临时目录运行,再释放出真正的安装包为2.tmp在临时目录运行,只要我们复制出2.tmp并且改名为2.exe就能够得当纯净版本的游戏 其中2.exe就是纯净版本的游戏,awareness.exe就是马,我们的工作顺利完成了。 总结一下,利用icesword我们能够轻易的发现问题,让这里的捆绑马的人显出原形 如果你有什么文件值得怀疑,那么可以在icesword的监控中运行,然后就能够轻易的发现是不是存在问题,这种方法比filemon/regmon联合监控的效果还要好,强烈推荐! 对付这些恶意的捆马者,我们要能轻松的识破他们的诡计,如果你想反向攻击攻击恶意的捆马者,可以使用些扫描工具或者溢出工具攻击攻击,如果实在没有办法可以使用SYN攻击工具直接攻击他的鸽子上线端口,这样绝对能让鸽子上线失效,当然,你要去免费域名商去把他的免费域名报告要求封闭也可以,具体的就大家自己干吧。。。 最后希望大家逃离挂马捆马的苦海,同时也希望那些以挂马捆马为荣耀的人停手吧,这样做对你们的技术提高有什么好处?
【责任编辑 徐洋】 |
||||||||||
打印本文 关闭窗口 |